Baixe o app para aproveitar ainda mais
Prévia do material em texto
Universidade Federal do Rio de Janeiro Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais Cláudia da Silva Mendonça GUERRA CIBERNÉTICA: Desafios de uma Nova Fronteira Rio de Janeiro 2014 Cláudia da Silva Mendonça GUERRA CIBENÉTICA: Desafios de uma Nova Fronteira Monografia apresentada para obtenção do título de Especialista em Gerência de Redes de Computadores no Curso de Pós-Graduação Lato Sensu em Gerência de Redes de Computadores e Tecnologia Internet do Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais da Universidade Federal do Rio de Janeiro – NCE/UFRJ. Orientador: Claudio Miceli de Farias, M.Sc., UFRJ, Brasil Rio de Janeiro 2014 AGRADECIMENTOS A Deus que mostrou Seu fôlego de vida em mim, me sustentou e me deu coragem para questionar a realidade e propor sempre um novo mundo de possibilidades... Sem a ajuda Dele eu não sou nada. A minha mãe Helle-nice e meu esposo Roberto que acreditaram em mim, me deram a esperança para seguir em frente, apesar das dificuldades, a segurança e certeza de que não estou sozinha nesta caminhada. Só vocês entendem o meu objetivo, falta de tempo, o cansaço, a necessidade de isolamento que a escrita exige. Obrigada pelo apoio neste momento tão difícil. Ao Professor e orientador Claudio Miceli de Farias pelo seu apoio e inspiração no amadurecimento dos meus conhecimentos e conceitos que me levaram à conclusão desta monografia. Aos amigos e professores Alexandre Ramos e Marcelo Ribeiro que me despertaram o desejo de trilhar este caminho e me mostraram alguns pontos de pesquisa. A minha amiga Roberta pela sua amizade e companheirismo em todos estes anos, pelos seus inúmeros conselhos e pelas palavras de estímulos, que muito me ajudaram a continuar a caminhada. Aos colegas de especialização pela oportunidade de convívio e, em especial, ao amigo de turma Sergio Machado que, com muita paciência e atenção, dedicou um pedaço do seu tempo para me apoiar e incentivar durante todo o curso, tanto nesta pesquisa quanto no nosso cotidiano de aulas presenciais. Aos meus companheiros de trabalho que contribuíram para que eu pudesse subir mais este degrau. Vocês são os profissionais que me inspiram diariamente. RESUMO MENDONÇA, Cláudia da Silva. GUERRA CIBERNÉTICA: Desafios de uma Nova Fronteira. Monografia (Especialização em Gerência de Redes e Tecnologia Internet). Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais, Universidade Federal do Rio de Janeiro. Rio de Janeiro, 2014. Com o avanço da tecnologia da informação e comunicações (TIC) aliado ao aumento de acessos à Internet e redes sociais, o grande desafio da Era Digital é a construção de um ambiente no País que permita identificar, monitorar e mitigar os riscos cibernéticos, impulsionando o desenvolvimento de ações preventivas, pró- ativas, reativas e de repressão a todo o tipo de ameaça, a fim de assegurar e defender os interesses do país e da sociedade brasileira. Os tipos de ataques de negação de serviço, as tentativas de interceptação de trafego e a engenharia social, são algumas armas que estes cibercriminosos possuem e do outro lado desta guerra, temos algumas ferramentas e equipamentos que nos auxiliam na proteção da rede. Este trabalho de conclusão de curso apresenta alguns ataques ocorridos no mundo que deram início a era cibernética, algumas técnicas de ataque e ferramentas de defesa, bem como propõe uma solução de defesa para proteger as infraestruturas críticas do País e das organizações. Palavra-chave: Guerra Cibernética. ABSTRACT MENDONÇA, Cláudia da Silva. GUERRA CIBERNÉTICA: Desafios de uma Nova Fronteira. Monografia (Especialização em Gerência de Redes e Tecnologia Internet). Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais, Universidade Federal do Rio de Janeiro. Rio de Janeiro, 2014. The advancement of Information and Communication along with increased access to the Internet and social networks, the challenge of the digital age is to build an environment that allows the country to identify, monitor and mitigate cyber risks, boosting the development of preventive, proactive, reactive and repressive actions to any kind of threat, in order to secure and defend the interests of the country and the Brazilian society. The types of denial of service attacks, intrusion attempts and social engineering are the weapons that these cybercriminals have and the other side of this war, we have some tools and equipment that assist us in protecting the network. This course conclusion work presents some attacks in the world who started the cyber age some techniques of attack and defense tools, and proposes a solution of defense to protect the critical infrastructure of the country and organizations. Keyword: CyberWar. LISTA DE FIGURAS Página Figura 1 – Total de incidentes reportados ao CERT.br 22 Figura 2 – Disseminação da ameaça Flame 28 Figura 3 – Ataque DDoS 35 Figura 4 - Three-Way Handshake 38 Figura 5 – Stateless Firewall 39 Figura 6 – SIEM 57 Figura 7 – Posicionamento do IPS 59 Figura 8 – Ataque DRDoS 64 Figura 9 – SIEM 66 Figura 10 – Anti-DDoS 70 Figura 11 – Defesa em Profundidade 72 LISTA DE ABREVIATURAS E SIGLAS ACK Acknowledge AP Access Point APF Administração Publica Federal ARP Address Resolution Protocol CLP Controlador Lógico Programável DDoS Distributed Denial of Service DLP Data Loss Prevention DNS Domain Name System DoS Denial of Service DRDoS Distributed Reflection Denial of Service ESSID Extended Service Set Identification FFAA Forças Armadas FTP File Transfer Protocol GC Guerra Cibernética HD Hard Disk HIDS Host-based Intrusion Detection system HPPTS Hypertext Transfer Protocol Secure HTTP Hypertext Transfer Protocol ICMP Internet Control Message Protocol IDS Intrusion Detection System IGMP Internet Group Management Protocol IP Internet Protocol IPS Intrusion Prevention Systems IPSEC IP Security Protocol MAC Media Access Control MITM Man-in-the-Middle MSVC Microsoft Visual Studio Compiler NIDS Network Intrusion Detection System OO Object Oriented POP Post Office Protocol SI Segurança da Informação SID Segurança das Informações Digitais SIEM Security Information and Event Management SMTP Simple Mail Transfer Protocol SQL Structured Query Language SSH Secure Shell SSL Secure Sockets Layer SYN Synchronize TCP Transmission Control Protocol TFN Tribe Floof Network TI Tecnologia da Informação TIC Tecnologias da Informação e Comunicação TLS Transport Layer Security UDP User Datagram Protocol URL Uniform Resource Locator VPN Virtual Private Network WAF Web Application Firewall SUMÁRIO 1 INTRODUÇÃO .............................................................................................11 1.1 MOTIVAÇÃO ................................................................................................12 1.2 RELEVÂNCIA...............................................................................................13 1.3 RESULTADOS ESPERADOS ......................................................................13 1.4 OBJETIVO....................................................................................................14 1.5 ORGANIZAÇÃO ...........................................................................................14 2 ASPECTOS GERAIS SOBRE GUERRA CIBERNÉTICA............................15 2.1 GUERRA DA INFORMAÇÃO .......................................................................15 2.2 ESPAÇO CIBERNÉTICO .............................................................................18 2.3 GUERRA CIBERNÉTICA .............................................................................18 2.4 PRINCÍPIOS DA GUERRA CIBERNÉTICA..................................................202.5 ATAQUES CIBERNÉTICOS.........................................................................21 2.5.1 Caso Estonia...............................................................................................23 2.5.2 Caso Stuxnet...............................................................................................24 2.5.3 Caso Duqu...................................................................................................26 2.5.4 Caso Flame .................................................................................................27 3 MÉTODOS, TÉCNICAS E FERRAMENTAS DE ATAQUES .......................30 3.1 MÉTODOS E TÉCNICAS USADOS EM UM ATAQUE CIBERNÉTICO .......30 3.1.1 Port Scanning .............................................................................................30 3.1.2 Engenharia Social.......................................................................................31 3.1.2.1 Phishing........................................................................................................32 3.1.2.2 Dumper Driver ou Trashing ..........................................................................32 3.1.3 Denial-of-Service (DoS) ..............................................................................33 3.1.3.1 Distributed Denial-of-Service (DoS)..............................................................34 3.1.3.2 Distributed Reflection Denial-of-Service (DDoS) ..........................................37 3.1.3.3 SYN Flood ou TCP SYN Flood.....................................................................38 3.1.3.4 UDP Flood ....................................................................................................41 3.1.3.5 Smurf ............................................................................................................42 3.1.3.6 Fraggle .........................................................................................................43 3.1.3.7 Ping Flood ....................................................................................................43 3.1.4 Man-in-the-Middle (MITM) ..........................................................................44 3.1.5 Web Defacement.........................................................................................45 3.2 FERRAMENTAS DE ATAQUE.....................................................................46 3.2.1 Varredura de rede .......................................................................................47 3.2.1.1 Nmap e Nessus ............................................................................................47 3.2.1.2 Aircrack-ng e Aerodump ...............................................................................47 3.2.1.3 Nikto .............................................................................................................48 3.2.2 Negação de serviço ....................................................................................48 3.2.2.1 Trinoo ...........................................................................................................48 3.2.2.2 Tribe Flood Network (TFN) ...........................................................................49 3.2.2.3 Stacheldraht .................................................................................................50 3.2.2.4 T50 ...............................................................................................................51 3.2.2.5 Slow Loris .....................................................................................................52 3.2.3 Interceptação de conexão..........................................................................53 3.2.3.1 Ethercap .......................................................................................................53 3.2.3.2 SSLStrip .......................................................................................................53 3.2.3.3 Dsniff ............................................................................................................55 4 FERRAMENTAS DE DEFESA.....................................................................56 4.1 ANTIVÍRUS ..................................................................................................56 4.2 FIREWALL....................................................................................................56 4.2.1 Packet Filtering...........................................................................................57 4.2.2 Statefull Firewall .........................................................................................58 4.2.3 Firewall de Aplicação ou Proxy de Serviços............................................58 4.3 SISTEMA DE DETECÇÃO DE INTRUSOS (IDS) ........................................60 4.3.1 Baseado em host (HIDS) ............................................................................62 4.3.2 Baseado em rede (NIDS) ............................................................................62 4.3.3 IDS Híbrido ..................................................................................................63 4.4 SISTEMA DE PREVENÇÃO DE INTRUSOS (IPS) ......................................63 4.5 SECUTITY INFORMATION AND EVENT MANAGEMENT (SIEM)..............65 4.6 REDE VIRTUAL PRIVADA (VPN) ................................................................66 4.7 WEB APLICATION FIREWALL (WAF) .........................................................67 4.8 DATA LOST PREVENTION (DLP) ...............................................................68 4.9 ANTI-DDOS ..................................................................................................69 5 ABORDAGEM INTEGRADA........................................................................71 5.1 MODELO DE CAMADAS DA DEFESA EM PROFUNDIDADE ....................71 6 CONCLUSÃO...............................................................................................77 REFERÊNCIAS.........................................................................................................79 11 1 INTRODUÇÃO Com a necessidade crescente de gerenciamento da informação distribuída em pontos fisicamente diferentes movido por uma economia altamente competitiva e instável, surgiu a Era da Tecnologia da Informação (TI) 1. Novas tecnologias e métodos para se comunicar surgiram no contexto da Revolução Informacional e foram desenvolvidas gradativamente nos anos 90. Estas tecnologias utilizam a digitalização e a comunicação em redes para a transmissão e distribuição das informações. O advento da TI possibilitou o surgimento do que se pode chamar de "sociedade da informação". A partir daí, a TI se transformou em base de todos os ramos do conhecimento, criando uma dependência cada vez maior. Porém, além dos inúmeros serviços prestados, as vulnerabilidades2 são proporcionais a sua grandiosidade, sendo muitas vezes exploradas por pessoas mal intencionadas, que buscam vantagens com a exploração da falta de regras e são acobertadas pela distância e pelo aparente anonimato. Logo se percebeu a possibilidade de explorar os recursos e as vulnerabilidades da TI sobre as infraestruturas críticas de um Estado, a fim de se obter informações confidenciais, realizar sabotagens ou mesmo ter vantagem durante a ocorrência de conflitos, independentemente dos atores envolvidos. Esta exploração das vulnerabilidades pode ser realizada por individuo, grupo ou por um Estado, sendo chamados de ataques cibernéticos ou guerra cibernética (GC). A guerra na era da globalização mudou em sua lógica, apresentando-se com um novo formato. As mudanças não foram nos instrumentos da guerra, na 1 TI (Tecnologia da Informação) – É o conjunto de todas as atividades e soluções providas por recursos de computação que visam permitir a produção, armazenamento, transmissão, acesso eo uso das informações. (ALECRIM, 2011). 2 Vulnerabilidade - Qualquer ponto fraco, processo ou ato administrativo ou exposição física que torne um computador suscetível à exploração por uma ameaça (MICROSFT, 2006) http://pt.wikipedia.org/wiki/Atividade_(engenharia_de_software) http://pt.wikipedia.org/wiki/Escrita 12 tecnologia dos meios empregados no seu planejamento e execução, nos modelos de condução da guerra ou nos tipos de guerra e sim na natureza da guerra, suas funções e eficiência de suas ações. Atualmente, ser o maior em poder bélico e grande quantidade de combatentes já não é garantia de inviolabilidade, pois não sabemos onde está o inimigo, uma vez que a internet não tem fronteira física. A combinação de velhos valores e novas tecnologias gera desconforto, desconfiança e desacordo entre os países, então os ataques cibernéticos se apresentam em uma escalada mundial crescente, silenciosa e se caracterizam como um dos grandes desafios do século XXI. Todas as pessoas, empresas, governos e entidades que utilizam o espaço cibernético estão expostos a riscos. Com o aumento da independência dos sistemas digitais aliado à conectividade global, a informação passa a ser um ativo crucial para os países administrarem sua segurança nacional e coletiva, objeto permanente da atenção das forças armadas e governo. 1.1 MOTIVAÇÃO Os desafios de uma nova modalidade de guerra, o conhecimento de novos conceitos e o desejo de fazer desta pesquisa um ponto inicial para estudos mais detalhados e, assim, a oportunidade de novos debates e possível crescimento do País neste setor foram alguns dos motivos que contribuíram para que houvesse uma persistência neste tema de pesquisa. 13 1.2 RELEVÂNCIA A GC por ser assimétrica, barata e altamente destrutiva, faz com que povos mais fracos consigam entrar em conflito com grandes potências e lutar em igualdade, o que não acontecia nas guerras tradicionais do passado. Atualmente, sabemos que nenhuma nação está completamente protegida contra ataques virtuais, sendo necessário que o atacante seja patrocinado por uma estatal e tenha motivações políticas intrínsecas para realizar tais ataques, o que necessitaria de uma estrutura e estratégia de guerra clássica. Diante do aumento dos ataques envolvendo conflitos entre países, há a necessidade um estudo mais detalhado, então este trabalho analisa os pontos importantes de algumas técnicas e ferramentas de ataque e defesa, que podem mostrar a superioridade ou fragilidade do Pais diante desta tão potente guerra virtual, a qual utiliza o ciberespaço como Teatro das operações para enfraquecer e causar caus ao inimigo. 1.3 RESULTADOS ESPERADOS O Brasil atualmente está iniciando nesta área e possui uma postura defensiva sobre este tema, possuindo somente ações para prevenir o ataque, então é necessário uma evolução desta postura, a fim de nos prepararmos para retribuir tais ofensivas, e a conscientização da sociedade, os treinamentos e as simulações são pontos primordiais para este crescimento. Da mesma forma, com este estudo esperamos alcançar uma maior especialização nacional nesta área, a fim de podermos ter uma postura pró-ativa, avaliando as vulnerabilidades e potenciais ameaças às estruturas críticas do País. 14 1.4 OBJETIVO O trabalho tem como objetivo analisar os desafios deste novo paradigma de guerra, apresentar métodos e técnicas de ataque, ferramentas de defesa, vulnerabilidades que representam potenciais ameaças e os impactos das dinâmicas da Guerra Cibernética na sociedade da informação, focando nas perspectivas das Forças Armadas. 1.5 ORGANIZAÇÃO O trabalho está organizado da seguinte forma: No capítulo 2 é apresentada uma breve explanação sobre conceitos clássicos de guerra e alguns conceitos usados em segurança Cibernética, princípios e GC e principais ataques cibernéticos ocorridos nos últimos anos. No capítulo 3 será elucidado sobre os métodos, técnicas e ferramentas de ataques mais comuns e as vulnerabilidades exploradas. No capitulo 4 será mostrado as ferramentas de defesa mais utilizadas em ataque. No capitulo 5 será proposto uma abordagem integrada como melhor forma de proteção dos ataques cibernéticos. Por fim, serão apresentadas na conclusão as medidas a serem adotadas pelo País para se proteger de ataques e para minimizar seus efeitos e o que esperar do futuro nesta área. 15 2 ASPECTOS GERAIS SOBRE GUERRA CIBERNÉTICA A constante evolução tecnológica ocorrida nos últimos anos resultou em grandes benefícios para a Sociedade, porém, trouxe problemas relacionados à segurança da informação digital3 (SID) que são frutos dessa própria evolução tecnológica, a qual possibilitou a integração cada vez maior de ambientes e de redes diferentes. Com esta evolução crescente, ameaças também surgiram para explorar estas novas descobertas e a segurança da informação (SI) deve estar muito bem implementada e massificada na mente dos usuários e profissionais de TI, a fim de evitar a ocorrência de incidentes que possam afetar a todos. A TI cria a necessidade do Estado adaptar suas estratégias de emprego da força a esta nova ferramenta. A informação é um bem público a ser protegido e controlado, servindo como uma arma na luta por territórios, por credibilidade e na guerra de ideias (MANJIKIAN, 2010). Com esta evolução, alguns termos são relativamente novos e passaram a fazer parte da rotina dos profissionais da área de TI nas esferas empresariais e governamentais. Estes conceitos têm sido muito discutidos e estudados por especialistas e vem levantando a necessidade de preocupação com os seus impactos, então antes de evoluir no pensamento sobre estes termos, é necessário certificar-se do que cada um deles representa. 2.1 GUERRA DA INFORMAÇÃO O avanço da tecnologia proporcionou novas formas de se comunicar, ao mesmo tempo em que trouxe dependências e vulnerabilidades às organizações e 3 Segurança da Informação digital (SID) – É a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio (ISO 27002, 2005). 16 com isso surgiu a disputa pelo recurso da informação, a qual deve ser administrada de forma diferenciada, servindo de recurso essencial estratégico de um governo ou organização. Na ultima década, o controle da informação está substituindo a segurança nacional como prioridade estratégica das grandes potências. Esta é uma mudança significativa no mundo atual, mostrando o papel que a informação passou a ter não só no dia a dia das pessoas, mas como estratégia política de uma nação (CASTILHO, 2013). Com a evolução da tecnologia da informação há a necessidade do Estado adaptar suas estratégias, uma vez que a informação é o bem a ser controlado e serve de arma a favor do domínio por um território, por atendimento de interesses nacionais, pelo poder e por credibilidade. As nações utilizam diferentes estratégias virtuais para alcançar os mesmos objetivos reais, unindo a guerra virtual à guerra real, a fim de desmobilizar o inimigo. A mídia vem noticiando constantemente os termos “Guerra da Informação”, “Guerra Eletrônica”, “Guerra Cibernética” e “Guerra Assimétrica” como sinônimos e percebemos a falta de consenso entre estudiosos na definição destes termos, mas podemos definir Guerra da Informação, como um conflito onde o alvo é a informação (SCHWARTAU,1994). E Guerra Cibernética é um subconjunto da guerra da informação, que envolve ações realizadas na Internet e nas redes a ela relacionadas (PARKS; DUGGAN,2001). Já a Guerra Eletrônica é entendida como ações que visam o controle e domínio do espectro eletromagnético paraimpedir, reduzir ou prevenir seu uso contra os interesses do país (BRASIL, 1999). 17 A Guerra da Informação tem o objetivo de alcançar a superioridade informacional frente ao oponente (WU, 2006), num contexto de competição ou operação militar, onde terá melhores condições para vencer aquele que conseguir se antecipar à execução dos ataques4 e, assim, reagir ofensivamente com a maior rapidez possível. Para isso, é necessário ter ferramentas de monitoramento e pessoal qualificado para rastrear possíveis ataques. Existem conceitos básicos que estão sendo delineados pelos especialistas da área de Segurança da informação e concordam que os atributos disponibilidade, integridade, confidencialidade são os principais e que melhor definem as propriedades da SI (KRAUSE, 1999), porém o Comitê Gestor de Segurança da Informação (CGSI)5, entende que o atributo autenticidade tem a mesma importância que os termos supracitados. Apesar de reconhecer que outros autores trabalham com outros atributos, KRAUSE (1999) prefere manter o foco nesses três princípios básicos para garantir a SI: • Confidencialidade. A informação somente pode ser acessada por pessoas explicitamente autorizadas. É a proteção de sistemas de informação para impedir que pessoas não autorizadas tenham acesso. • Disponibilidade. A informação deve estar disponível no momento em que a mesma for necessária. • Integridade. A informação deve ser recuperada em sua forma original (no momento em que foi armazenada). É a proteção dos dados ou informações contra modificações intencionais ou acidentais não autorizadas. 4 Ataque é o conjunto de ações que tentem comprometer a integridade, confiabilidade ou disponibilidade de um recurso computacional (BOFF, 2009). 5 Comitê Gestor de Segurança da Informação (CGSI) - Comitê que assessora a Secretaria Executiva do Conselho de Defesa Nacional, na consecução das diretrizes da Política de Segurança da Informação, nos órgãos e nas entidades da Administração Pública Federal, bem como na avaliação e análise de assuntos relativos aos objetivos estabelecidos no Decreto Nº 3505 de 13 de junho de 2000. 18 2.2 ESPAÇO CIBERNÉTICO O mundo cibernético (Cyber War) é qualquer realidade virtual 6, numa coleção de computadores e redes. Existem diversos mundos cibernéticos, mas o mais relevante para a Guerra Cibernética é a Internet e as redes a ela relacionadas, as quais compartilham mídia com a Internet (PARKS; DUGGAN, 2001). Para estes autores, o mundo cibernético é uma realidade virtual que se contrapõe à guerra cinética, definida como a guerra praticada no mundo real. É muito difícil falarmos em fronteiras físicas no espaço cibernético (ciberespaço), uma vez que não temos como definir os seus limites e a soberania de cada Estado, juntamente com a dificuldade em definirmos a identidade das pessoas que se apresentam por seus apelidos (nicknames) e nem delinearmos suas ações. Desta forma, o ciberespaço é um não-lugar: sem fronteiras, sem raízes, sem história (AUGE, 1994). Diante disso, como identificarmos a fronteiras do espaço cibernético? A questão desta nova fronteira encontra-se no limbo jurídico, não está perfeitamente demarcada e sem regras bem definidas, o que impossibilita o Estado de aplicar a lei, havendo a necessidade eminente de um estudo detalhado sobre este assunto, a fim de definir as fronteiras do ciberespaço e as responsabilidades de cada nação. 2.3 GUERRA CIBERNÉTICA É uma nova modalidade de guerra que vem assustando a todo o mundo, onde o ciberespaço e tecnologias de informação são o cenário principal em vez do campo 6 Realidade Virtual – Este termo foi creditado à Jaron Lanier, fundador da VPL Research Inc., que o cunhou, no início dos anos 80, para diferenciar as simulações tradicionais feitas por computador de simulações envolvendo múltiplos usuários em um ambiente compartilhado (ARAÚJO, 1996). 19 de batalha convencional e os conflitos não possuem armas físicas, mas o confronto é realizado com meio eletrônicos no mundo virtual. Devido a este tipo de guerra ser muito atual, então este assunto possui várias definições em várias obras diferentes, entretanto, neste trabalho, será considerado o conceito apresentado no Manual MD35-G-01, (BRASIL, 2007): Conjunto de ações para uso ofensivo e defensivo de informações e sistemas de comunicações para negar, explorar, corromper ou destruir valores do adversário baseados em informações, sistemas de informação e redes de computadores. Estas ações são elaboradas para obtenção de vantagens tanto na área militar quanto na área civil. (BRASIL, 2007). Apesar de não haver um acordo na definição deste tema, um aspecto que todos os autores concordam é que para ocorrer a GC é necessária a existência de motivação estratégica ou política realizada por ou contra um País, então atividades realizadas com motivações pessoais não podem ser consideradas como sendo GC, embora possam ser igualmente prejudiciais. Na visão do Ministério da Defesa (MD), conforme o definido no Manual MD30- M-01 das Forças Armadas (BRASIL, 2011), a GC é composta das seguintes ações: • Exploração Cibernética – consiste em ações de busca, nos Sistemas de Tecnologia da Informação de interesse, a fim de obter dados, de forma não autorizada, para a produção de conhecimento e/ou identificar as vulnerabilidades desses sistemas (BRASIL, 2011). • Ataque Cibernético – compreende ações para interromper, negar, degradar, corromper ou destruir informações armazenadas em dispositivos e redes computacionais e de comunicações do oponente (BRASIL, 2011). • Proteção Cibernética – abrange as ações para neutralizar ataques e exploração cibernética contra os nossos dispositivos computacionais e redes de computadores e de comunicações, incrementando as ações de Segurança Cibernética em face de uma situação de crise ou conflito armado. (BRASIL, 2011). 20 ; As ações de exploração e ataque cibernéticos são realizadas em conjunto, a fim de ter o controle da Infraestrutura Criticas de informações7, obter dados sigilosos e indisponibilizar todos os sistemas indispensáveis do inimigo e, com isso, acabar com o poder do inimigo. Já as ações defensivas de proteção cibernética empregará procedimentos e dispositivos para se contrapor às táticas que podem ser empregadas pelo oponente. 2.4 PRINCÍPIOS DA GUERRA CIBERNÉTICA A partir do trabalho inicial de PARKS e DUGGAN, apresentado no Seminário de SI da Academia Militar dos Estados Unidos da América (USMA) 8, em 2001, foi verificado que alguns princípios da Guerra Tradicional não se aplicavam ao mundo virtual, sendo necessário propor novos princípios em um estudo posterior (CAHILL; ROZINOV; MULÉNUM, 2003): O ataque cibernético 9 só faz sentido se produzir algum efeito no mundo real e com isso obter algumas vantagens por meio das suas ações realizadas Todo ato feito no mundo virtual é visível, mesmo que medidas para dissimular sejam realizadas; No mundo virtual não possível prever com exatidão o comportamento resultante de uma ação tomada, devido à natureza imprevisível da operação de equipamentos e programas, exceto aquelas que refletem uma ação tomada no mundo físico; 7 Infraestrutura Critica de Informações – É o subconjunto dos ativos de informação que afetam diretamente a consecução e a continuidade da missão do Estado e a segurança da sociedade (MANDARINO, 2010). 8 United States Military Academy (USMA) – É conhecida também como Academia de West Point, ou simplesmente pela sua sigla em inglês, USMA, é uma Academia Federal de Educação Militar de 4 anos, do Exército dos Estados Unidos, localizada em West Point, Nova Iorque. 9 Ataque Cibernético - Compreende ações para interromper,negar, degradar, corromper ou destruir informações armazenadas em dispositivos e redes computacionais e de comunicações do oponente (EB, 2013). http://pt.wikipedia.org/w/index.php?title=West_Point_(Nova_Iorque)&action=edit&redlink=1 21 O atacante pode assumir a identidade de outra pessoa para realizar atividades no mundo cibernético; As ferramentas de GC podem servir tanto para o ataque quanto para a defesa; O mundo virtual não é confiável. Os equipamentos e programas nem sempre produzem resultado da forma que esperamos, impossibilitando a certeza de que a próxima ação cibernética irá funcionar; Não existe distância física no mundo cibernético e esta não é obstáculo na condução de um ataque, então ações realizadas em diferentes localidades terão a mesma eficiência, dificultando a detecção da origem de ataques; e Quem controlar a parte do ciberespaço que o oponente utiliza, pode controlar o oponente (PARKS e DUGGAN, 2001). 2.5 ATAQUES CIBERNÉTICOS Tem sido noticiado na mídia o crescimento de 42% dos ataques direcionados à espionagem industrial, no ano de 2012, incluindo a descoberta de 14 vulnerabilidades zero-day10 e o aumento de 30% dos ataques Web, conforme revelou o Relatório de Ameaças à Segurança na Internet (ISTR) (SYMANTEC, 2012). O relatório mostrou que os cibercriminosos não estão reduzindo suas atividades e continuam a planejar novas maneiras de roubar informações de organizações de todos os tamanhos. As sofisticações dos ataques combinadas com a atual complexidade da TI exigem que as empresas se mantenham pró-ativas e 10 Vulnerabilidade Zero-Day – É aquela reportada por ter sido explorada em seu estado selvagem, antes da vulnerabilidade ser de conhecimento público e de ter uma atualização disponível (SYMANTEC, 2012). 22 usem medidas de segurança com defesa avançada para prevenir ataques, afirmou André Carrareto, Estrategista em Segurança da Symantec para o Brasil. Figura 1 – Total de incidentes reportados ao CERT.br no período de JUL a SET2013. Fonte: CERT.BR, 2013a. O limiar para se definir ataque cibernético e guerra no ciberespaço é muito tênue (LEWIS, 2010). Para ele, guerra cibernética deve ser entendida como o uso da força, pelos Estados ou grupos políticos, para causar destruição, danos ou vítimas de efeito político ou estratégico. Estas ações atingem as infraestruturas críticas de informações de um País, sendo decisiva e por si só gerar a vitória no combate. Enquanto que um ataque cibernético é uma ação realizada por um indivíduo ou grupo individual com o intuito de provocar danos (físicos, financeiros ou morais), destruição ou vítimas sem que tenham o objetivo de obter uma vantagem estratégica. 23 2.5.1 Caso Estonia O ataque feito contra a Estônia mostrou na realidade a capacidade que tem um ataque cibernético (CLARK e KNAKE, 2010), protagonizando a primeira guerra virtual e sendo um divisor de águas em termos da ampla conscientização acerca da vulnerabilidade da sociedade moderna. A Estonia é um país que tem sua infraestrutura totalmente informatizada, os serviços essenciais são virtualizados. Após a retirada de uma estátua de bronze em Abril de 2007, a qual comemorava os soldados do Exército Vermelho que combateram os nazistas na Segunda Guerra Mundial, estourou o estopim da, até então conhecida, primeira GC (essa data ficou conhecida posteriormente como “The Night Bronze”) (SHEETER, 2007). O Governo estoniano disse ao site BBC11 que seus sites e muitos sites de empresas e bancos do país estão sendo bombardeados por uma enorme quantidade de pedidos de informação, acima da capacidade de processamento dos seus servidores, obstruindo os servidores e roteadores, com isso os serviços essenciais saíram do ar, deixando aquele pequeno país completamente desconectado. A fim de ampliar o ataque, os hackers12 infiltraram computadores em todo o mundo com softwares, conhecidos como botnets13, para realizar os ataques coordenados. A partir desse fato, fica evidenciado que um ataque de negação de serviço 11 Conforme noticiado no site da BBC, disponível em http://www.bbc.co.uk/portuguese /reporterbbc/story/2007/05/070517_estoniaataquesinternetrw.shtml. 12 Hacker – É o indivíduo hábil em enganar os mecanismos de segurança de sistemas de computação e conseguir acesso não autorizado aos recursos, a partir de uma conexão remota em uma rede de computadores. (FERREIRA, 1999). 13 Botnets - É uma rede formada por centenas ou milhares de computadores zumbis e que permite potencializar as ações danosas executadas pelos bots (CERT.BR, 2013b). 24 distribuído (DDoS - Distributed Denial of Service)14 bem sucedido pode não comprometer a infraestrutura física de um País, mas certamente causa danos e prejuízos, além do efeito psicológico. Com isso, o País perdeu sua força de ataque sem que nenhuma vida humana se perdesse pelo motivo do ataque cibernético. 2.5.2 Caso Stuxnet Em Junho de 2010, foi descoberto o malware15 chamado STUXNET, o qual marcou o início da década do terrorismo cibernético, com armas e guerras virtuais, sendo projetado para danificar fisicamente os equipamentos de controle industrial do Irã. O Stuxnet foi desenvolvido para atacar somente em sistemas operacionais SCADA feita pela empresa Siemens (MCMILLAN, 2010). Este engenho norte- americano / israelense foi desenhado para retardar o avanço do programa nuclear iraniano. O Stuxnet foi o primeiro worm16 que tinha um rootkit17 de CLP (Controlador Lógico Programável18), ou seja, ele tinha embutido comandos de baixo nível do sistema que tinha ação sobre o hardware, podendo reprogramá-lo sem que os funcionários notassem. 14 Distributed Denial of Service (DDoS) - DDoS é o acrônimo de Distributed Denial of Service, um tipo de ataque em que um computador-alvo recebe uma quantidade tal de requisições que o sobrecarregam, tornando indisponíveis os serviços por ele oferecidos (OLIVEIRA, 2011). 15 Códigos maliciosos (malware) são programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador (CERT.BR, 2013b). 16 Worm - É um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador (CERT.BR, 2013b). 17 Rootkit - É um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido (CERT.BR, 2013b). 18 CLP (Controlador Lógico Programável) – São também computadores, mas altamente especializados para controle de infraestrutura industrial como atuadores e sensores industriais. Os CLPs rodam um sistema operacional próprio chamado SCADA (Supervisory Control and Data Aquisition) e não dependem diretamente de sistemas operacionais de PC. Foi aí que o Stuxnet provavelmente atuou, carregando no CLP códigos mal-intencionados (SILVA, 2011). 25 O vírus19 conseguiu alterar a velocidade dos rotores das usinas nucleares e ao mesmo tempo enganava o sistema supervisor para que não detectasse qualquer anormalidade. Com isto, sem ser notado, superaquecia as plantas de produção até sua destruição. Quando se identificou que havia algo errado, os prejuízos estavam estabelecidos e o cenário era irreversível (FALLIERE; MURCHU; CHIEN, 2011). Segundo o relatório do jornal americano The New York Times, publicado em Agosto de 2013, os analistas de segurança cibernética suspeitam que este supervírus fosse um esforço conjunto norte americano-israelense, apelidado de “Olympic Games” (SANGER, 2012). Há muita especulação sobre a origem do Stuxnet. A Symantec e a Kaspersky concluíram que o seudesenvolvimento não poderia ter sido feito por usuários domésticos, mas somente pelo governo de algum país (FALLIERE; MURCHU; CHIEN, 2011). Constatou-se nas linhas de código do vírus que apresentavam registro de vários teclados do mundo, ou seja, ele pode ter sido desenvolvido em colaboração entre países, ou então isso foi feito apenas para cobrir rastros, não havendo ainda certeza sobre o que de fato ocorreu. Hoje, todo o código fonte do Stuxnet está disponível na internet, e a preocupação é como ele poderá ser alterado de maneira a ser reutilizado. Existem indícios de que dois outros vírus são frutos dele, o Duqu e o Flame, ambos com foco no roubo de informações (FERRAN, 2012). Esses eventos podem ser considerados como o início da primeira ciberguerra em escala global, o que deve ser visto não só por agências governamentais, mas por todos os profissionais responsáveis por sistemas críticos (SILVA, 2011a). 19 Vírus – É um programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos (CERT.BR, 2013b). 26 2.5.3 Caso Duqu Em 2011, os profissionais da área de Segurança das Informações Digitais e GC tomaram conhecimento desta nova arma cibernética, mas suspeitava-se que este novo vírus poderia estar ativo desde 2007, segundo relatos de analistas da Kaspersky Lab. Ele é uma variação do Stuxnet e teve um projeto sofisticado para roubar dados dos sistemas e depois atacá-los. Os especialistas da Kaspersky verificaram que as vítimas eram infectadas por um malware introduzido através de um documento falsificado de Word, o qual, se aberto, desencadeia a instalação do Duqu. Este código malicioso (malware) se aproveitava de um zero-day do Sistema Operacional Windows para se hospedar e então fazer a coleta das informações. Após extensas pesquisas do Laboratório da empresa de computação Russa Kaspersky, os cientistas entenderam que esse foi um software desenvolvido como um sucessor ou uma ferramenta adicional do Stuxnet para um ataque cibernético direcionado (KEIZER, 2011). Até hoje não se sabe qual foi à linguagem de programação em que esse worm foi desenvolvido, nem seu desenvolvedor e o seu real motivo. Segundo COMPUTERWORLD (2012), os peritos anti-malware da Kaspersky Lab descobriram é que parte do programa parece ter sido desenvolvida com Object Oriented C (OO C), uma extensão arcaica personalizada para a linguagem de programação C. Enquanto a maior parte do Duqu foi escrito na linguagem C++ e compilado com o Microsoft Visual C++ 2008, o módulo de Comando foi escrito em C puro e compilado com Microsoft Visual Studio Compiler 2008 (MSVC 2008), usando duas opções específicas para manter o código pequeno. Após uma extensa análise feita pela Empresa Symantec Labs, foi verificado 27 que parte do Duqu foi feita baseando-se em segmento do código-fonte do Stuxnet, deixando entendido que a pessoa ou organização que desenvolveu tenha tido acesso ao código-fonte integral da versão original, ou ao menos, fez parte de seu desenvolvimento (GALLAGHER, 2011). A função do Duqu é roubar as senhas que são cruciais para a ação do Stuxnet, ou seja, o Duqu é um espião projetado para roubar informações das empresas que, provavelmente, seriam alvo da ação do Stuxnet. 2.5.4 Caso Flame Em 2012, uma nova ameaça cibernética é noticiada pela mídia mundial, onde o Oriente Médio é mais uma vez alvo de ataques cibernéticos. Inicialmente, o Flame não causava danos físicos aos computadores, pois ele foi projetado com intuito de roubar informações das máquinas infectadas, por meio da coleta de informações digitadas em campos de texto, gravação de áudio, captura de imagens e coleta de informações sobre aparelhos com Bluetooth desprotegido. Segundo Gris (2012), a Kaspersky descreve como um ataque toolkit, o que significa que ele tem componentes suficientes para fazer qualquer, desde abrir um backdoor 20, implantar trojans21 com várias finalidades e depois ir se espalhando como todo worm. Pesquisadores da empresa também confirmaram que os autores dos vírus Flame e Stuxnet cooperaram em algum momento, uma vez que o Stuxnet utilizava um código idêntico a um plugin do vírus Flame, criando a ligação entre os dois vírus (ROHR, 2012). 20 Backdoor – É um programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para este fim (CERT.BR, 2013b). 21 Torjan (cavalo de tróia) – É um programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário (CERT.BR, 2013b). 28 A sofisticação, o número restrito de alvos e a ausência de um interesse comercial claro indicam que o Flame teria sido patrocinado por um governo, de acordo com os especialistas, e seria, portanto, uma arma de ciberespionagem (NEWMAN, 2012a). A figura 2 mostra a disseminação desta praga no mundo. Figura 2 – Disseminação da ameaça Flame. Fonte: ROHR, 2012. 29 O Stuxnet foi o vírus responsável por sabotar o programa de enriquecimento de urânio do Irã em Natanz, conforme noticiado no jornal The New York Times. Enquanto o vírus Flame, por sua vez, não possui nenhum componente para danificar sistemas, mas apenas para capturar dados. Segundo a Kaspesky, o Flame é muito mais complexo que o Stuxnet, pois ele possui um conjunto de módulos que pode ocupar mais de 40 vezes o espaço em disco que o Stuxnet utilizava (CARVALHO, 2012). 30 3 MÉTODOS, TÉCNICAS E FERRAMENTAS DE ATAQUES Neste capitulo será abordado alguns métodos e técnicas mais importantes e algumas ferramentas utilizadas para realizar estes ataques. 3.1 MÉTODOS E TÉCNICAS USADOS EM UM ATAQUE CIBERNÉTICO Com a proliferação das redes de computador no mundo aliado ao avanço tecnológico, os ataques cibernéticos têm se tornado mais complexos e perigosos. Diante disso, é necessário fazermos um estudo mais detalhado sobre alguns métodos e técnicas de ataque que podem ser usados para atingir uma organização ou uma nação. 3.1.1 Port Scanning O Port Scanning é uma técnica de coleta de informações ou inteligência utilizada na fase de levantamento de informações, a qual é a primeira fase de um ataque e não caracteriza um ataque real. Esta técnica é utilizada tanto por hackers quanto por administradores de redes, a fim de criar um mapa de todos os hosts ativos e com características interessantes para possíveis verificações, documentações ou escaneamentos mais precisos. Um dos softwares mais conhecido que faz port scanning é o nmap (BRADLEY, 2012). Após a descoberta dos Hosts e identificação dos mais interessantes, o atacante passa para a fase de enumeração de serviços, podendo realizar um escaneamento de portas, para determinar seus serviços, versão e status. A partir das vulnerabilidades encontradas, é possível encontrar falhas de segurança, aumentando a chance de sucesso da invasão. 31 3.1.2 Engenharia Social Com o crescimento do uso da internet e da tecnologia, as empresas estão investindo pesado na modernização de seus parques tecnológicos e na segurança deles, dificultando a exploração de vulnerabilidades e, com isso os invasores estão se especializando em explorar o fator humano, o qual é o principal problema da SI. Nada adianta trancar as portas de sua casa, manter cadeados ou sistemas de segurança que monitorem ou dificultem a entrada pelas portas, sendo que alguém de dentro de casa sempre abre as portas para o bandido. Dessa maneira, todo investimento vai por água abaixo (ALVES, 2010). A engenharia social é um método de ataque que utiliza o poder de influenciar e persuadir para enganaras pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não é. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia (MITNICK; SIMON, 2003). Não existe uma empresa totalmente segura, uma vez que a falta de conscientização dos funcionários e a total confiança em si e nos equipamentos de proteção da rede são os principais motivos deste tipo de ataque ser tão eficiente. Para minimizar a possibilidade de ser uma vítima de engenharia social é necessário principalmente que haja divulgação constante da política de segurança da empresa, presença dos funcionários em cursos de capacitação e palestras de conscientização, regras severas de segurança das informações digitais e software de auditoria de acesso e monitoramento e filtragem de conteúdo (PEIXOTO, 2006). Algumas técnicas mais utilizadas neste tipo de ataque: 32 3.1.2.1 Phishing É a técnica de engenharia social mais utilizada que explora não uma falha do sistema e sim no fator humano, para se conseguir acesso à rede-alvo ou informações sigilosas, por meio de e-mails manipulados e enviados às organizações e pessoas, com o intuito de aguçar algum sentimento que faça com que o usuário leia o e-mail e realize as operações solicitadas (RAFAEL, 2013). A maioria dos phishings possui algum anexo ou links dentro do e-mail que direcionam para a situação que o atacante deseja, e com as informações levantadas, é possível continuar o ataque mais direcionado. 3.1.2.2 Dumper Driver ou Trashing É a técnica utilizada para conseguir informações privilegiadas que potencializem as tentativas de quebra de senha e invasões, por meio da procura de informações em lixeiras, aproveitando a falta instrução dos usuários e técnicos no descarte de informações sigilosas. Para diminuirmos o risco de acesso não autorizado, perda ou roubo de informações, devemos seguir regras de descarte da informação de acordo com o seu grau de sigilo, utilizar os trituradores de papel, apagar as trilhas magnéticas do Disco Rígido (HD) 22, fazer a manutenção do lixo nas áreas de acesso restrito, acompanhar todos os visitantes enquanto estiverem no local e realizar a política de mesa limpa de papeis e mídias de armazenamento removível e política de tela limpa para os recursos de processamento da informação23. 22 Disco Rígido (Hard Disk) - É um sistema de armazenamento de alta capacidade, que permite armazenar arquivos e programas (MUSEU, 2004). 23 Política da Mesa limpa e tela Limpa definem diretrizes que reduzem o risco de uma violação de segurança, perda e roubo de informações, causados por documentos digitais ou escritos à mão 33 3.1.3 Denial-of-Service (DoS) Os ataques de negação de serviço são feitos não com o objetivo de invadir o sistema, mas sim com o propósito de torná-lo indisponível, por meio do consumo total da largura de banda de uma rede específica ou por inanição de recursos, onde o ataque se dá pelo consumo de todos os recursos do sistema, fazendo com que ele deixe de responder a requisições de usuários válidos. Apesar de não causarem a perda ou roubo dos dados, os ataques DoS são graves, pois deixa a rede indisponível quando um usuário precisa utilizá-la, ferindo uma das propriedades essenciais da SID, a qual garante que a informação estará disponível para o usuário e para o sistema de informação que está em operação no momento que a organização requer (ISO 27002, 2005). A gravidade deste ataque está relacionada ao tempo do sistema estar fora do ar, à perda de credibilidade e ao trabalho físico envolvido em identificar e reagir a tais ataques. Este método de ataque pode ser realizado em redes cabeadas e em redes sem fio. Nestas últimas, como todos os equipamentos sem fio utilizam a mesma frequência, então quando funcionam próximos podem causar degradação do sinal, fazendo com que a capacidade e a qualidade diminuam. Diante disso, o atacante, com o equipamento apropriado, pode enviar uma grande quantidade de trafego aleatório na mesma frequência do roteador, fazendo fazer com que a rede fique indisponível. deixados sobre a mesa ou em impressoras, acesso a computadores sem senha de proteção de tela, ou mesmo, acesso a dispositivos removíveis expostos em locais desprotegidos (ISO 27002, 2005). 34 No entanto, existem ataques mais sofisticados, como por exemplo, um atacante se passando por um ponto de acesso com o mesmo ESSID24 (Extended Service Set Identifier) e endereço MAC25 de outro ponto de acesso válido enchendo a rede com pedidos de dissociação. Estes pedidos fazem com que os clientes sejam obrigados a se desassociarem e se reassociarem. Enviando as requisições de dissociação em períodos curtos de tempo, o DoS é concretizado, uma vez que os clientes não conseguiriam permanecer conectados por muito tempo (DUARTE, 2003). Algumas técnicas de DoS: 3.1.3.1 Distributed Denial-of-Service (DoS) Este ataque é a soma de dois conceitos do mundo da TI: negação de serviço e computação distribuída (SACHDEVA; SINGH; SINGH, 2011). Embora os ataques de DDoS já existam há mais de uma década, a dimensão e a frequência desses ataques estão aumentando mais rápido do que a capacidade da maioria das organizações de absorvê-los. O ataque DDoS é dado, basicamente, em três fases: uma fase de levantamento das vulnerabilidades das redes-alvos e exploração, que é o objetivo de obter acesso privilegiado nessas máquinas. Na segunda fase, o atacante instala software DDoS nas máquinas invadidas (agentes), com o intuito de montar a rede de ataque. E, por último, a fase onde é lançado algum tipo de inundação de pacotes contra uma ou mais vítimas, consolidando efetivamente o ataque. 24 ESSID (Extended Service Set Identifier) – É o nome da rede, que deve ser conhecido tanto pelo concentrador quanto pelo cliente que deseja conexão (RUFINO, 2011) 25 Endereço MAC - É o endereço físico da placa de rede, conforme disponível em http://www. mundodoshackers.com.br/o-que-e-um-endereco-mac (TÁCIO, 2010). 35 Assim que o atacante ordena o ataque, uma ou mais máquinas vítimas são bombardeadas por um enorme volume de pacotes, resultando não apenas na saturação do link de rede, mas principalmente na paralisação dos seus serviços. A figura 3 e dada uma clara visão de como é feito um ataque DDoS. Figura 3 – Ataque DDoS . Fonte: SOLHA, 2004. Em um mundo em constante crescimento, cada vez mais interconectado e complexo, pode ser difícil para as organizações se anteciparem ao próximo ataque ou atividade maliciosa, então existem alguns passos que podem ser tomados para tornar efetiva a detecção. Algumas anomalias podem sinalizar a ocorrência deste tipo de ataque. São elas: 1. Excesso de tráfego: Aumento repentino de atividades de processamento e consumo total da banda, ultrapassando o número de acessos esperado. 36 2. Pacotes UDP26 e ICMP27 de tamanho anormal: Grande parte das sessões UDP utilizam pacotes mínimos de dados com tamanhos entre 512 e 1280 bytes. As mensagens ICMP são de tamanhos diferenciados não sendo maiores de 128 bytes. Pacotes de dados que saiam desses padrões podem ser considerados suspeitos de terem códigos maliciosos e estarem participando de um ataque (principalmente se forem em grandes quantidades). 3. Pacotes TCP e UDP que não fazem parte de uma conexão: Alguns ataques do tipo DDoS fazem uso vários protocolos aleatórios para enviar dados sobre meios não orientados à conexão. A detecção pode ser realizada empregando um statefullfirewall28. 4. Pacotes binários: Quando os dados de pacotes forem recebidos somente em dados binários e o seu destino for para diferentes protocolos, eles devem ser analisados e, dependendo do caso, descartados. Pacotes binários podem estar escondendo algum comando de controle de máquina embutido em seu código binário. Segundo Maia (2003), ainda hoje não existe uma solução definitiva para este tipo de ataque. O que existem são métodos que podem ser concatenados e utilizados para minimizar os riscos e proteger um determinado sistema. Para isso é necessário: • Aumentar o nível de segurança dos ativos de rede, realizando as atualizações de segurança, instalando patches que possam fechar as brechas de vulnerabilidades conhecidas, a fim de dificultar a formação das redes DDoS; 26 User Datagram Protocol (UDP) - É um protocolo orientado à transação, que provê um serviço sem conexão, não garantindo a entrega e duplicação dos pacotes. (RFC 768, 1980). 27 Internet Control Message Protocol (ICMP) - É um protocolo usado para relatar um erro no processamento de datagramas, utilzando o suporte de base do IP. (RFC 792, 1981). 28 Statefull-firewall - É um Firewall que mantém o estado das conexões (NORTHCUTT, 2005). 37 • Implementar mecanismos anti-spoofing para evitar a movimentação de pacotes com endereços falsificados pela internet; e • Limitar a banda disponível para os pacotes utilizados no ataque, por meio de configurações nos equipamentos de conectividade. 3.1.3.2 Distributed Reflection Denial-of-Service (DDoS) Este novo tipo de negação de serviço que se aproveita de duas falhas em serviços de internet, a falsificação da origem (IP Spoofing) e servidores DNS recursivos abertos, pois menos botnets são necessários para gerar grandes volumes de tráfego de ataque, devido às técnicas de reflexão e ampliação (DUNN, 2013). Impulsionados pela facilidade de obter listas de servidores vulneráveis para ser usado em ataques aliado ao alto grau de anonimato, fazem com que os cibercriminosos mudem suas táticas em ataques DDoS e consigam ser bem mais devastadores. Tal fato levou os principais veículos de imprensa internacional, como a BBC e o New York Times, a noticiarem como o maior ataque cibernético da história, que deixaram a internet inteira lenta (LINHA DEFENSIVA, 2013). De acordo com pesquisa feita pela Empresa de mitigação Prolexic, baseada no levantamento do terceiro trimestre de 2013, estes ataques de reflexão tiveram um aumento de 265% comparado com o mesmo período de 2012, afirmou o presidente da Prolexic, Stuart Scholly (SEGINFO, 2013). Para realizar este ataque, as máquinas escravas enviam um fluxo de pacotes, com o endereço de origem falsificado, para outras máquinas não infectadas, conhecidas como refletores, os quais conectam com a vítima e enviam um grande volume de tráfego. O ataque é montado pelas máquinas não comprometidas (refletores) sem estarem cientes da ação. 38 O sequestro de intermediários para amplificar o efeito fez com que este projeto criasse duas vítimas, o alvo pretendido e o intermediário (HENRIQUE, 2013), conforme mostrado na figura 4 abaixo. Figura 4 – DRDoS. Fonte: FERRAZO, 2011. 3.1.3.3 SYN Flood ou TCP SYN Flood É uma técnica de ataque DoS, que atua na requisição de abertura de conexões TCP29, onde o atacante envia para o servidor-alvo uma grande quantidade de pacotes SYN30 (SCHLEMER, 2007). Quando é feita qualquer requisição TCP a um servidor, há uma troca de pacotes e comumente conhecida como o processo de handshake de três vias (Three-Way Handshake) 31, conforme mostrado na figura a seguir. 29 Transmission Control Protocol (TCP) - É um protocolo orientado à conexão e fornece um serviço de entrega de pacotes confiável (RFC 793, 1981). 30 Pacotes SYN - É uma solicitação de sincronização enviada pelo cliente ao servidor para estabelecer o sincronismo (SCHLEMER, 2007). 31 Three-Way Handshake - É o processo para estabilizar a conexão TCP/IP entre o cliente e o servidor (TCP/IP GUIDE, 2005). 39 Figura 5 - Three-Way Handshake. Fonte: TCP/IP GUIDE, 2005. Este processo é iniciado quando cliente envia uma solicitação de sincronização com o flag SYN ativado, no campo flag do header TCP, com número de sequência 0 (Seq=0), para o servidor. Se o servidor quiser e puder atender, ele devolve ao cliente uma solicitação de sincronização com os flags de SYN e de ACK ligados e com número de sequência 0 (Seq=0). Esta segunda etapa é conhecida como SYN/ACK. Se o cliente ainda quiser manter a conexão, devolve ao servidor um terceiro pacote sem dados, apenas com o flag de ACK ligado (SYN desligado) e o número de sequência 1 (Seq=1). Somente após esta etapa é que os dados podem ser trocados (SCHLEMER, 2007). O mais importante para entender a gravidade do ataque é saber que o servidor, ao receber o primeiro pacote (SYN), se ele quiser, precisa antes de 40 responder com o SYN/ACK, alocar recursos de hardware para atender esta nova conexão. Como o TCP é um protocolo confiável, que trata de desordenamento e perdas de pacotes, estes recursos não são poucos, pois envolvem buffers de envio e de recebimento, controle de números de sequência, relógios, enfim, muitos recursos de memória, principalmente. Nesta técnica de ataque, o atacante gera quantos SYN a máquina dele for capaz e não responde nenhum deles, então o servidor alocará recursos para cada um, como se fossem requisições legítimas, só desalocando quando acabar o tempo. Atualmente, temos hardware com capacidades de memória e recursos gigantescos, mas não existem recursos infinitos. Mais cedo ou mais tarde os recursos se esgotarão e o servidor ficará incapaz de atender clientes legítimos. Um ataque de SYN Flood e feito utilizando IP de origem falsificado (spoofing), para que o atacante não receba os ACKs de suas falsas solicitações (CARNEGIE, 2000). Existem medidas que podem prevenir estes ataques em alguns servidores. A solução por firewall não é o suficiente para resolvermos este tipo de ataque, então a técnica de SYN Cookies32 permite que o servidor escolha o seu número de sequência por meio de uma função hash de 32 bits, onde serão consideradas informações como IP/Porta do cliente e dados que só o servidor tem. O servidor gera este número e não aloca recursos (RFC 4987, 2007). 32 SYN Cookies – É a técnica de proteção usada contra os ataques de SYN Flood. Número de sequencia de 32 bits codificado com uma função hash inserido no SYN-ACK pelo servidor (RFC 4987, 2007). 41 Quando vier o último pacote do Three-Way Handshake, o servidor refaz o cálculo do Hash, e verá que nenhum dado foi alterado, podendo concluir que o cliente é legítimo. Com esta técnica, o atacante está impossibilitado de realizar o ataque de SYN Flood, pois ele não recebe o pacote SYN/ACK, pois como ele falsificou o IP (spoofing), então este pacote foi para o IP falso. Logo o atacante não conhece o valor do número de sequência do servidor para poder devolvê-lo incrementando de um, como realizado no segundo passo do Three-Way Handshake (RFC 4987, 2007). Só resta ao atacante tentar quebrar o hash de 32 bits, o que não é uma tarefa difícil, mas precisaria de uns 3 segundos para quebrar, isto já é uma eternidade para que o SYN Flood realmente cause uma negação de serviço. No Linux, isso pode ser evitado, ativando o uso do recurso oferecido diretamente pelo Kernel33, por meio da inclusão do seu script no firewall e ativação do TCP syncookie no kernel. Ao ativar o recurso, o sistema passa a responder ao pacote SYN inicial com um cookie, que identifica o cliente. Com isso, o sistema aloca espaço para a conexãoapenas após receber o pacote ACK de resposta, tornando o ataque sem sucesso. O atacante ainda pode consumir um pouco de banda, obrigando o servidor a enviar um grande volume de SYN Cookies de resposta, mas o efeito sobre o servidor será mínimo (MORIMOTO, 2010). 3.1.3.4 UDP Flood É uma técnica de ataque DoS, diferenciada do TCP SYN Flood, porque a comunicação UDP não estabelece conexão, ou seja, não faz o Three-Way 33 Kernel - É uma série de arquivos escritos em linguagem C e em linguagem Assembly que constituem o núcleo, o centro de todas as atividades desempenhadas pelo sistema operacional (PIRES, 2007). 42 Handshake. Por esse motivo, o atacante pode enviar pacotes UDP aleatórios para todas as portas que porventura estejam abertas no servidor (SOLHA, 2004). Quando o servidor recebe os pacotes UDP enviados pelo atacante, ele tenta tratar e determinar as requisições feitas naquelas determinadas portas em que foram recebidos os pacotes. Porem, quando o servidor verifica que não existe nenhuma aplicação aguardando tal pacote recebido, ele então emite um pacote ICMP para o destinatário (provavelmente para um endereço IP falso ou forjado), comunicando o fato de não ter encontrado o pacote no serviço solicitado. Quando esses pacotes são em grande quantidade, o sistema poderá ser comprometido causando assim uma negação de serviço. 3.1.3.5 Smurf O Smurf é uma técnica de ataque de DoS, com o objetivo não de parar só um computador, mas sim uma rede inteira (BOFF, 2009). O atacante envia tráfego ICMP echo request (ping)34 para um IP de broadcast35 da rede, utilizando o endereço de origem falsificado da vítima. O roteador receberá os ICMP echo request e redirecionará para todos os hosts da rede. Esta técnica faz com que cada computador da rede responda aos falsos pacotes de ping e envie uma resposta (ICMP echo reply) ao computador de destino, inundando-o (SYMANTEC, 2014), resultando em degradação do serviço, ou mesmo, negação de serviços para aquele segmento de rede, dado o elevado volume de tráfego gerado. 34 Ping – É uma sigla para Packet InterNet Grouper. É um comando capaz de medir quantos milissegundos (ms) um pacote de informações leva para ir até um destino e voltar (GUILHERME, 2012). 35 Endereço de broadcast - É o endereço comum usado para transmitir uma mensagem a todos os hosts em uma rede (SYMANTEC, 2014) 43 Em muitos casos, os administradores de rede podem evitar que suas redes sejam utilizadas como amplificadores36, bloqueando nos firewalls a entrada de pacotes ICMP/UDP que tenham como destino o endereço de broadcast da rede e desativar os serviços que não estão sendo utilizados pelos computadores de rede (BOFF, 2009). 3.1.3.6 Fraggle Esta técnica de ataque semelhante ao Smurf, a qual utiliza pacotes UDP. Em vez de enviar pacotes de ICMP echo response, ele envia pacotes UDP, com endereço de origem falsificado, para os endereços de broadcast da rede. As máquinas da rede ao receberem o pacote UDP respondem à vítima, a qual envia mais uma resposta, gerando uma grande quantidade de tráfego na rede (BOFF, 2009). 3.1.3.7 Ping Flood Este método de ataque é um dos mais antigos e simples, mas não muito eficaz atualmente, uma vez que o seu objetivo é saturar a rede com tráfego ICMP Echo Request, exigindo que a vítima gaste todo seu tempo de CPU para responder os pacotes falsos. (TOMICKI, 2010). Este ataque envia um pacote mal formado explorando uma falha do sistema, sendo reforçado por meio do envio de pacotes grandes (superior a 65536 octetos), forçando os roteadores de borda a gastar muito tempo para realizarem a fragmentação destes pacotes. 36 A rede está sendo usada como amplificador quando não só aceita ICMP echo requests enviados para um endereço de broadcast, mas que permite ICMP echo replies enviados para fora (BOFF, 2009). 44 Algumas maneiras de se proteger é filtrando a entrada de pacotes ICMP Echo Request na rede, bloquear pacotes acima do tamanho limite no firewall ou no IDS (TOMICKI, 2010) e aplicar o último patch de atualização do Sistema Operacional. 3.1.4 Man-in-the-Middle (MITM) Este método de ataque consiste basicamente em o atacante se infiltrar na comunicação entre duas partes, interceptar os dados, manipulá-los e retransmiti-los sem que nenhuma das partes perceba (JORGE, 2011). Segundo Kaspersky (2013), uma variante deste método de ataque e a forma mais comum de MITM, o atacante, com o objetivo de roubar informações, usa um roteador sem fio como mecanismo para interceptar o tráfego de dados existente na comunicação de suas vítimas, o que pode acontecer tanto por meio de um roteador corrompido quanto por falhas na instalação do equipamento. Numa situação comum, o atacante configura o seu dispositivo wireless para atuar como access point (AP) e o nome com um título comum em redes públicas. Então quando um usuário se conecta ao roteador e tenta navegar em sites com informações sigilosas, como banco ou comércio eletrônico, o invasor rouba suas credenciais. Num caso recente noticiado no blog da empresa Kaspersky, um hacker usou vulnerabilidades na implementação de um sistema criptográfico de uma rede WiFi real e a usou para capturar informações. Esta é a situação é mais incomum, mas também a mais lucrativa, pois se o atacante for persistente e acessar o equipamento hackeado por algum tempo, ele terá a possibilidade de capturar as sessões de seus usuários e, com isso, ter acesso às suas informações sigilosas. 45 Existem diferentes maneiras de defender-se dos ataques MITM, mas a maioria delas deve ser instalada nos roteadores e servidores e não são totalmente seguras. Uma delas é aplicar uma criptografia complexa entre o cliente e o servidor, sendo que o servidor pode identificar-se apresentando um certificado digital para que o cliente possa estabelecer uma conexão criptografada e, assim, enviar a informação sensível. Mas esta possibilidade de defesa depende de que ambos servidores tenham tal criptografia habilitada. Da mesma forma, os usuários também podem se prevenir de ataques MITM da seguinte forma: - evitar se conectar a WiFi livres; - instalar plugins, como HTTPS Everywhere ou ForceTLS em seu navegador, uma vez que estes programas selecionarão apenas conexões seguras sempre que estas estejam disponíveis (KASPERSKY, 2013); - utilizar, sempre que possível, SSL/TLS37 em suas conexões, principalmente em conexões irão ser transmitidos dados importantes; - verificar certificados SSL antes de usá-los; e - utilizar dispositivos de autenticação, como tokens ou outras formas de autenticação de dois fatores, para acessar contas que contenham informações sensíveis e confidenciais. 3.1.5 Web Defacement Este método de ataque, também conhecido como pichação de site, é teoricamente simples e pode colaborar para uma ação mais complexa a ser 37 SSL/TLS – São protocolos que permitem a comunicação segura na internet. O TLS é o sucesor do SSL (SAUVAGE, 2014). https://www.eff.org/https-everywhere http://forcetls.sidstamm.com/ 46 executada no alvo. Geralmente estes ataques tem uma intenção política ou de inteligência, a fim de desestabilizar o adversário, afetando seu emocional, alertar para um sistema não crítico da ação a ser executada, desviando a atenção do real alvo. Neste ataque o hacker explora vulnerabilidades e bugs de segurança em páginas da web para modificá-las, como por exemplo, algum código HTML errado, algum formulário de contato mal configurado, página índex com erros na codificação. Diante desta brecha, o atacante insere um código malicioso que faz a troca da página principal do site, outras vezes, ele identifica o IP doservidor onde está hospedado o site e insere o código malicioso (REYES, 2010). A solução para evitar novos ataques deste tipo é inserir alguns códigos de segurança na página, fechar toda brecha de codificação e desabilitar os serviços desnecessários que estão rodando no servidor web. Em 2011, uma onda de invasões de hackers em sites oficiais nos Estados Unidos e Europa atingiram os sites brasileiros. As páginas do Governo Federal, da Presidência da Republica e de algumas empresas foram alvos de ataques da versão brasileira do grupo hacker LulzSec. Os ataques congestionaram as redes onde as páginas estavam hospedadas, deixando os sites fora do ar durante um curto período. O objetivo do grupo era roubar informações sigilosas e expô-las na internet (VERLY, 2011). 3.2 FERRAMENTAS DE ATAQUE Atualmente, constatamos que os ataques cibernéticos vêm se tornando um problema cada vez mais grave no mundo, pois novas técnicas e ferramentas surgem 47 a cada instante e estão mais eficientes. Diante disso, vamos analisar mais detalhadamente alguns artefatos de ataque. 3.2.1 Varredura de rede É um dos primeiros para passos do atacante para fazer o levantamento das vulnerabilidades da vítima, mas também pode ser usado por administradores de rede, a fim de tornar seus ativos de rede mais seguros. As ferramentas mais usadas são detalhadas abaixo: 3.2.1.1 Nmap e Nessus São as melhores ferramentas livres utilizadas para fazer uma varredura na rede e auditoria de segurança, que permitem verificar algumas características da rede, status de serviços que estão rodando nos hosts, informações sobre o seu Sistema operacional. O Nessus possui versão paga e free, funcionando por meio de pluggins instalados e indica as vulnerabilidades detectadas e os passos que devem ser seguidos para eliminá-las. 3.2.1.2 Aircrack-ng e Aerodump É uma suíte de ferramentas relacionadas à wardriving utilizadas para captura de redes sem fio 802.1138, onde é possível mapear, traçar e quebrar a chave destas redes. O aerodump-ng é usado para capturar pacotes de dados brutos em redes sem fio, coletando informações dos Access Points (AP) e computadores detectados 38 O padrão IEEE 802.11 foi projetado para oferecer comunicação sem fio com alta largura de banda, fornecendo serviços que podem migrar de uma célula para outra com frequência, ou seja, é um padrão criado para lidar com mobilidade (TANENBAUM, 2003). 48 e gravando em um arquivo, para posteriormente injetar os frames, utilizando o Aireplay-ng e, em seguida, fazer o ataque para quebra da senha com o Aircrack-ng. 3.2.1.3 Nikto É um software de código aberto, instalado no Backtrack 539, usado como scanner de vulnerabilidades em servidores Web, sendo possível verificar as configurações destes servidores, como os arquivos índex e opções do servidor HTTP. 3.2.2 Negação de serviço É um ataque em que o inimigo consegue colocar um sistema-alvo inutilizável ou sobrecarrega-o, de modo que não pode ser utilizado por usuários legítimos. Existem várias ferramentas que podem ser utilizadas para este tipo de ataque e algumas serão detalhadas abaixo: 3.2.2.1 Trinoo O Trinoo (ou Trin00) é uma ferramenta de ataque, usada para lançar ataques do tipo DDoS, especialmente para ataques do tipo UDP flooding. Originalmente ela foi desenvolvida para Sistemas Operacionais Solaris 2.X ou Linux, porém, com a sua evolução, foram aparecendo também para plataformas Microsoft Windows (MARTINEZ, 2000). Segundo Dittich (2009), o esta ferramenta é dividida em duas partes, a parte controladora (master) e a parte que é controlada (client). O componente master 39 BackTrack 5 - é um Sistema Operacional Linux que possui mais de 300 ferramentas diferentes e atualizadas, que são logicamente estruturadas de acordo com o fluxo de trabalho de profissionais de segurança, utilizado para realizar testes de segurança e de penetração, conforme disponível em http:// www.backtrack-linux.org. 49 possui uma unidade controladora do Trinoo que é secretamente instalada no computador da vítima. Essa unidade tem a missão de distribuir muitos pacotes UDP destinados a um determinado servidor. Ao tentar processar tais pedidos, respondendo com uma mensagem "ICMP Port Unreachable" para cada pacote UDP invalido recebido, este servidor esgota seus recursos, o que resulta numa recusa de serviço (DoS). O Trinoo também possui um componente cliente que é usado para controlar um ou mais componente master remotamente e enviar vários comandos. A comunicação entre o master Trin00 e os agentes é feita via pacotes UDP na porta 27444/udp ou via pacotes TCP na porta 1524/tcp. A comunicação entre os agentes e o master Trin00 também é através de pacotes UDP, mas na porta 31335/udp. Quando um daemon é inicializado, ele anuncia a sua disponibilidade, enviando uma mensagem ("*HELLO*") ao master, o qual mantém uma lista dos IP das máquinas agentes ativas, que ele está controlando (DITTRICH, 2009). 3.2.2.2 Tribe Flood Network (TFN) O TFN é uma ferramenta usada para lançar ataques DoS coordenados em direção a uma ou mais vítimas, a partir de várias máquinas comprometidas, da mesma forma que o Trinoo. Além de serem capazes de gerar ataques do tipo UDP flood, uma rede TFN pode gerar ataques do tipo SYN flood, ICMP flood e Smurf/Fraggle. O atacante não precisa se conectar ao operador (MCCLURE, 2003). Neste tipo de ataque é possível forjar o endereço do remetente dos pacotes lançados às vítimas, o que dificulta qualquer processo de identificação do atacante. 50 No caso especifico de lançar o ataque Smurf/Fraggle para atingir a(s) vítima(s), a inundação de pacotes é enviada às redes intermediarias, as quais consolidarão o ataque. O controle remoto do componente master TFN é realizado por meio de comandos executados pelo programa cliente. A conexão entre o atacante e o cliente pode ser realizada usando qualquer um dos métodos de conexão conhecidos, tais como: RSH, RLOGIN e TELNET40. A comunicação entre o cliente TFN e os daemons é feita via pacotes ICMP echoreplay, não existindo comunicação TCP ou UDP entre eles. Não é necessário inserir senha para executar o cliente, no entanto, e indispensável à lista dos IP das máquinas que tem os daemons instalados. Algumas versões da aplicação cliente usam criptografia para ocultar o conteúdo desta lista (DITTRICH, 1999). 3.2.2.3 Stacheldraht É uma ferramenta de ataque usada para lançar ataques DDoS que combina características do Trinoo e do TFN, adicionando a criptografia simétrica da comunicação entre o atacante e o master e atualização automática dos agentes (SOLHA; TEIXEIRA; PICCOLINI, 2000). Como seu predecessor TFN, ela também é capaz de gerar ataques DoS do tipo UDP flood, TCP flood, ICMP flood e Smurf/fraggle. A ideia de criptografia da comunicação entre a unidade controladora e a unidade controlada surgiu devido à deficiência encontrada nas ferramentas 40 RSH, RLOGIN e TELNET - permitem acessar remotamente outro computador, mas as conexões não utilizam criptografia, então os dados trafegam de forma desprotegida e caso exista algum sniffer na rede, poderá capturar todo o tráfego. 51 anteriores, onde a conexão entre eles era completamente desprotegida, estando exposta ao ataque de roubo de sessão (TCP Session Highjacking41) (SOLHA; TEIXEIRA; PICCOLINI, 2000). A comunicação entre o cliente e o master é feita via pacotes TCP na porta 16660/tcp e entre o master e o cliente via pacotes ICMP echoreplay na porta 65000/tcp. 3.2.2.4 T50 É uma ferramenta simples e poderosa de injeção de pacotes, desenvolvida pelo
Compartilhar